一段IIS日志引发的安全思考

鸟儿平时很少看IIS日志的,因为主机给的IIS日志看上去实在是不够直观,乱乱的一片,今天没事,打开日志翻了翻,一段请求让我不寒而栗。
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2009-11-27 00:01:26
#Fields: time cs-method cs-uri-stem c-ip sc-status sc-bytes cs-bytes
00:18:42 GET /wrklweb.rar 120.15.84.194 404 0 105
00:18:45 GET /web.rar 120.15.84.194 404 0 101
00:18:48 GET /web.rar 120.15.84.194 404 0 101
00:18:49 GET /rvjzweb.zip 120.15.84.194 404 0 105
00:18:53 GET /web.zip 120.15.84.194 404 0 101
00:18:57 GET /web.zip 120.15.84.194 404 0 101
00:18:58 GET /tovcwww.rar 120.15.84.194 404 0 105
00:19:02 GET /www.rar 120.15.84.194 404 0 101
00:19:06 GET /www.rar 120.15.84.194 404 0 101
00:19:07 GET /udahwww.zip 120.15.84.194 404 0 105
00:19:10 GET /www.zip 120.15.84.194 404 0 101
00:19:20 GET /www.zip 120.15.84.194 404 0 101
00:19:23 GET /svmiwwwroot.rar 120.15.84.194 404 0 109
00:19:23 GET /wwwroot.rar 120.15.84.194 404 0 105
00:19:33 GET /wwwroot.rar 120.15.84.194 404 0 105
00:19:36 GET /tynxwwwroot.zip 120.15.84.194 404 0 109
00:19:36 GET /wwwroot.zip 120.15.84.194 404 0 105
00:19:40 GET /wwwroot.zip 120.15.84.194 404 0 105
00:19:50 GET /psoqwz.rar 120.15.84.194 404 0 104
00:19:54 GET /wz.rar 120.15.84.194 404 0 100
00:19:54 GET /wz.rar 120.15.84.194 404 0 100
00:19:58 GET /klkxwz.zip 120.15.84.194 404 0 104
00:20:07 GET /wz.zip 120.15.84.194 404 0 100
00:20:08 GET /wz.zip 120.15.84.194 404 0 100
00:20:11 GET /ltka服务器.rar 120.15.84.194 404 0 108
00:20:15 GET /服务器.rar 120.15.84.194 404 0 104
00:20:15 GET /服务器.rar 120.15.84.194 404 0 104
00:20:18 GET /yjsebackup.rar 120.15.84.194 404 0 108
00:20:28 GET /backup.rar 120.15.84.194 404 0 104
00:20:31 GET /backup.rar 120.15.84.194 404 0 104
00:20:32 GET /tqok备份.rar 120.15.84.194 404 0 106
00:20:35 GET /备份.rar 120.15.84.194 404 0 102
00:20:40 GET /wap.asp 124.115.0.163 200 1336 226
00:20:45 GET /备份.rar 120.15.84.194 404 0 102
00:20:46 GET /ghfiwebsite.rar 120.15.84.194 404 0 109
00:20:49 GET /website.rar 120.15.84.194 404 0 105

日志上的显示IP为120.15.84.194(IP显示河北衡水网通/联通)的人，在尝试下载我空间根目录上的若干文件，文件名就如日志中所描述的那样，web.rar website.rar 备份.rar……

值得庆幸的是我空间上并没有这么白痴的文件，所以给他返回的代码一律404，自己的备份都在本地，空间商的备份也不在这里面，不然我可是真的整站被人拿去了，还得庆幸zblog的数据库用户密码部分是md5后的，不然恐怕已经不知道是什么样的结果了。

仅仅是给广大站长提个醒，独立主机也好，虚拟主机也好，备份别放在http能访问到的地方。本机或者其他任何看上去与你的站点无关的地方，都是很安全的。千万别丢到空间上就不管了。

转载请注明：鸟儿博客 » 一段IIS日志引发的安全思考